Compliance

Lançada terceira parte de guia sobre segurança da cadeia de valor de software

A terceira e última parte do guia desenvolvido por agências norte-americanas é direcionada aos clientes de software

22/11/2022

Lançada terceira parte de guia sobre segurança da cadeia de valor de software

A Cybersecurity and Infrastructure Security Agency (CISA), a National Security Agency (NSA), e o Office of the Director of National Intelligence (ODNI) divulgaram a última parte de um guia conjunto sobre a segurança da cadeia de valor de software.

A orientação, criada pelo Enduring Security Framework (ESF), um grupo de trabalho transversal a vários setores focado na mitigação de riscos a infraestruturas críticas e na segurança nacional, fornece recomendações a developers, fornecedores e organizações sobre as melhores práticas de segurança da cadeia de valor de software.

A primeira parte oferece recomendações a developers de software, a segunda parte visa fornecedores de software, e a terceira destina-se aos clientes de software. O documento detalha práticas que os clientes devem aplicar ao adquirir, implementar e utilizar software e fornece exemplos de cenários de ataque e mitigação.

No que diz respeito à aquisição de software, as agências recomendam prestar atenção aos requisitos da organização, como atividades de Security and Supply Chain Risk Management (SCRM), fazer avaliações de produtos, incluindo a Software Bill of Materials (SBOM), e avaliar os fornecedores antes de estabelecer contratos.

No que concerne a implementação de software, os clientes são aconselhados a examinar de forma minuciosa os produtos, realizando testes funcionais e validando os produtos de uma perspetiva de segurança, estabelecer um Configuration Control Board (CCB) encarregue do ciclo de vida do produto, garantir que o produto se integra com o ambiente existente e monitorizar as atualizações.

As agências recomendam, também, que as organizações cuidem adequadamente dos produtos que atingiram o fim de vida ou que são descontinuados e que garantam a implementação de um programa de formação eficaz para novos produtos.

Adicionalmente, os consumidores de software são aconselhados a tomar atenção à forma como os produtos são operados para garantir que as vulnerabilidades e mudanças de funcionalidades são identificadas, que as atualizações são aplicadas em tempo útil e que o software malicioso é eliminado antes de prejudicar a organização.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº8 Outubro 2022

IT SECURITY Nº8 Outubro 2022

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.